Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA)

Online-Version signieren

Dieser Nachtrag zur Datenverarbeitung („Data Processing Addendum” bzw. „DPA”) ist Teil der monday.com Nutzungsbedingungen oder einer anderen Vereinbarung, die die Nutzung der monday.com Services regelt („Vereinbarung”), und zwischen Ihnen, dem Kunden (wie in der Vereinbarung definiert) (gemeinsam „Sie„, „Ihr”, „Kunde”), und monday.com Ltd. („monday.com”, „uns”, „wir”, „unser”) geschlossen wurde, um die Vereinbarung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten durch monday.com ausschließlich im Auftrag des Kunden wiederzugeben. Beide Parteien werden als die „Parteien” und jede einzeln als eine „Partei” bezeichnet.

Großgeschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung, die diesen Begriffen in der Vereinbarung zugewiesen wird.

Durch die Nutzung des Service akzeptiert der Kunde diese DSV und Sie sichern zu, dass Sie die volle Befugnis haben, den Kunden an diese DSV zu binden. Falls Sie diese DSV nicht einhalten können oder damit nicht einverstanden sind, oder nicht die Befugnis haben, den Kunden oder eine andere Einheit zu binden, stellen Sie uns bitte keine personenbezogenen Daten zur Verfügung.

Im Falle eines Widerspruchs zwischen bestimmten Bestimmungen dieser DSV und den Bestimmungen der Vereinbarung haben die Bestimmungen dieser DSV Vorrang vor den widersprüchlichen Bestimmungen der Vereinbarung ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten.

DEFINITIONEN

Definitionen:

„Affiliate“

bezeichnet jede Entität, die die betroffene Entität direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle mit ihr steht. „Kontrolle” im Sinne dieser Definition bedeutet direktes oder indirektes Eigentum oder Kontrolle von mehr als 50 % der stimmberechtigten Anteile an der betroffenen Entität.

„Autorisierter Partner”

bezeichnet alle Partner des Kunden, denen die Nutzung des Service gemäß der Vereinbarung zwischen dem Kunden und monday.com ausdrücklich gestattet ist, die aber keine eigene Vereinbarung mit monday.com unterzeichnet haben und keine „Kunden“ im Sinne der Vereinbarung sind.

„CCPA“

steht für California Consumer Privacy Act of 2018, Cal. Civ. Code §§ 1798.100 et. seq.

Die Begriffe „Verantwortlicher”, „Datensubjekt”, „Mitgliedstaat”, „Verarbeiter”, „Verarbeitung” und „Aufsichtsbehörde”

haben die gleiche Bedeutung wie in der DSGVO. Die Begriffe „Unternehmen”, „Unternehmenszweck”, „Verbraucher” und „Dienstanbieter” haben die gleiche Bedeutung wie im CCPA.

Zum Zwecke der Klarheit innerhalb diesem DPA bedeutet „Verantwortlicher”

auch „Unternehmen” und „Verarbeiter” auch „Dienstanbieter”. In gleicher Weise bezieht sich auch der Unterverarbeiter des Verarbeiters auf den Begriff des Dienstanbieters.

„Datenschutzgesetze”

bezeichnet alle Gesetze und Vorschriften zum Schutz der Privatsphäre und des Datenschutzes, einschließlich solcher Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten, der Schweiz, des Vereinigten Königreichs und der Vereinigten Staaten von Amerika, die auf die Verarbeitung personenbezogener Daten gemäß der Vereinbarung anwendbar sind.

„Datensubjekt”

bezeichnet die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen.

„DSGVO”

bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

„Personenbezogene Daten” oder „Personenbezogene Informationen”

sind alle Informationen, die eine identifizierte oder identifizierbare natürliche Person oder einen Verbraucher (wie im CCPA definiert) identifizieren, sich auf sie beziehen, sie beschreiben, mit ihnen in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihnen in Verbindung gebracht werden könnten und die von monday.com ausschließlich im Auftrag des Kunden gemäß diesem DPA und der Vereinbarung zwischen Kunde und Verarbeiter verarbeitet werden.

„Sicherheitsdokumentation”

bezeichnet die für den vom Kunden erworbenen Service geltende Sicherheitsdokumentation, die von Zeit zu Zeit aktualisiert wird und über https://monday.com/trustcenter/datasecure/, zugänglich ist oder anderweitig in angemessener Weise von monday.com zur Verfügung gestellt wird.

„Unterverarbeiter”

bezeichnet jede dritte Partei, die personenbezogene Daten unter der Gebrauchsanweisung oder Aufsicht von monday.com verarbeitet.

„Standardvertragsklauseln”

bezeichnet die Standardvertragsklauseln und die zugehörigen Anhänge und Anlagen, die unter www.monday.com/terms/scc („monday.com SCC” [Standard Contractual Clauses]), abrufbar sind, oder in Bezug auf Weiterübertragungen durch den Verarbeiter an einen Unterverarbeiter gemäß Abschnitt C von Anhang A der monday.com SCC auch die Standardvertragsklauseln für die Übertragung personenbezogener Daten an Verarbeiter oder Unterverarbeiter mit Sitz in Drittländern, wie sie von der Europäischen Kommission von Zeit zu Zeit gemäß der Richtlinie 95/46/EG oder der DSGVO angenommen werden.

VERARBEITUNG PERSONENBEZOGENER DATEN

Funktionen der Parteien.

Die Parteien erkennen an und vereinbaren, dass in Bezug auf die Verarbeitung personenbezogener Daten, die ausschließlich im Namen des Kunden durchgeführt wird, (i) der Kunde der Verantwortliche für die in den Kundendaten enthaltenen personenbezogenen Daten ist (wie in der Vereinbarung definiert), (ii) monday.com der Verarbeiter dieser in den Kundendaten enthaltenen personenbezogenen Daten ist; (iii) für die Zwecke des CCPA (und soweit anwendbar) der Kunde das „Unternehmen” und monday.com der „Dienstanbieter” (gemäß der Definition dieser Begriffe im CCPA) in Bezug auf die in diesem Abschnitt ‎2.1 beschriebene Verarbeitung personenbezogener Daten ist. Die nachstehenden Begriffe „Verantwortlicher” und „Verarbeiter” bezeichnen hiermit den Kunden bzw. monday.com.

Verarbeitung von personenbezogenen Daten durch den Kunden.

Der Kunde ist verpflichtet, bei der Nutzung des Service und den Anweisungen des Kunden an den Verarbeiter die Datenschutzgesetze einzuhalten. Der Kunde muss alle erforderlichen Rechtsgrundlagen schaffen und aufweisen, um die personenbezogenen Daten zu erheben, zu verarbeiten und an den Verarbeiter zu übertragen und die Verarbeitung durch den Verarbeiter zu genehmigen, sowie für die Verarbeitungstätigkeiten des Verarbeiters im Auftrag des Kunden, einschließlich der Verfolgung von „Geschäftszwecken” wie unter dem CCPA definiert.

Verarbeitung personenbezogener Daten durch den Verarbeiter.

Wenn der Verarbeiter personenbezogene Daten ausschließlich im Auftrag des Kunden gemäß der Vereinbarung verarbeitet, darf er diese für die folgenden Zwecke verarbeiten: (i) Verarbeitung in Übereinstimmung mit der Vereinbarung und diesem DPA; (ii) Verarbeitung, damit der Kunde den Service nutzen kann; (iii) Verarbeitung, um die angemessenen und dokumentierten Anweisungen des Kunden bezüglich der Art und Weise der Verarbeitung zu erfüllen, sofern diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen; (iv) vollständige Anonymisierung, Nicht-Identifizierbarkeit und Nicht-Personenbezogenheit der personenbezogenen Daten; (v) Verarbeitung, die nach den für den Verarbeiter geltenden Gesetzen erforderlich ist, vorausgesetzt, dass der Verarbeiter den Kunden vor der Verarbeitung über die gesetzlichen Anforderungen informiert, es sei denn, das Gesetz verbietet eine solche Information aufgrund gewichtiger Gründen des öffentlichen Interesses.

Falls eine vom Kunden erteilte Anweisung zur Verarbeitung personenbezogener Daten nach Auffassung des Verarbeiters gegen geltende Datenschutzgesetze verstößt, hat er den Kunden unverzüglich zu informieren. Falls der Verarbeiter einer Anweisung des Kunden nicht nachkommen kann, (i) informiert der Verarbeiter den Kunden unter Angabe der relevanten Details des Problems, (ii) kann der Verarbeiter ohne Haftung gegenüber dem Kunden vorübergehend die gesamte Verarbeitung der betroffenen personenbezogenen Daten einstellen (mit Ausnahme der sicheren Speicherung dieser Daten) und/oder den Zugriff auf das Konto aussetzen, und (iii) falls sich die Parteien nicht auf eine Lösung des betreffenden Problems und die damit verbundenen Kosten einigen, kann der Kunde als einziges Rechtsmittel die Vereinbarung und diese DPA in Bezug auf die betroffene Verarbeitung kündigen, und der Kunde zahlt dem Verarbeiter alle Beträge, die er dem Verarbeiter schuldet oder die vor dem Datum der Kündigung fällig sind. Der Kunde hat keine weiteren Ansprüche gegen den Verarbeiter (einschließlich, aber nicht beschränkt auf die Forderung von Rückerstattungen für den Service) gemäß der Beendigung der Vereinbarung und dem DPA, wie in diesem Absatz beschrieben

Details zur Verarbeitung.

Der Gegenstand der Verarbeitung personenbezogener Daten durch den Verarbeiter ist die Erbringung des Service gemäß der Vereinbarung. Die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten von personenbezogenen Daten und die Kategorien von Datensubjekten, die im Rahmen dieses DPA verarbeitet werden, sind in Anhang 1 (Details zur Verarbeitung) dieses DPA näher beschrieben.

CCPA Standard of Care (Sorgfaltsstandard); Kein Verkauf von Personenbezogenen Daten.

Der Verarbeiter erkennt an und bestätigt, dass er keine persönlichen Daten als Gegenleistung für Dienstleistungen oder andere Elemente erhält oder verarbeitet, die der Verarbeiter dem Kunden im Rahmen der Vereinbarung zur Verfügung stellt. Der Verarbeiter darf keine Rechte oder Vorteile in Bezug auf die im Namen des Kunden verarbeiteten personenbezogenen Daten haben, ableiten oder ausüben und darf personenbezogene Daten ausschließlich für die Zwecke verwenden und offenlegen, für die ihm diese personenbezogenen Daten zur Verfügung gestellt wurden, wie in der Vereinbarung und diesem DPA festgelegt. Der Verarbeiter bestätigt, dass er die Regeln, Anforderungen und Definitionen des CCPA versteht, und erklärt sich damit einverstanden, ohne die vorherige schriftliche Einwilligung des Kunden keine im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten zu verkaufen (gemäß der Begriffsdefinition im CCPA) und keine Maßnahmen zu ergreifen, die dazu führen würden, dass eine Übertragung personenbezogener Daten an oder von dem Verarbeiter im Rahmen der Vereinbarung oder dieses DPA als „Verkauf” dieser personenbezogenen Daten im Sinne des CCPA zu qualifizieren wäre.

RECHTE DER DATENSUBJEKTE

Anfragen von Datensubjekten.

Der Verarbeiter wird, soweit gesetzlich zulässig, den Kunden unverzüglich benachrichtigen bzw. die betroffene Person oder den Verbraucher an den Kunden verweisen, falls der Verarbeiter eine Anfrage eines Datensubjekts oder eines Verbrauchers erhält, um dessen Rechte (in dem Umfang, der ihnen nach geltendem Recht zusteht) auf Auskunft, Recht auf Berichtigung, Einschränkung der Verarbeitung, Löschung („Recht auf Vergessenwerden”), Datenübertragbarkeit, Einspruch gegen die Verarbeitung, dessen Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden, dem Verkauf von personenbezogenen Daten zu widersprechen, oder das Recht, bei der Ausübung dessen Rechte als Verbraucher nicht diskriminiert zu werden („Antrag des Betroffenen”). Der Verarbeiter unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich und zumutbar ist, bei der Erfüllung der datenschutzrechtlichen Verpflichtung des Kunden zur Beantwortung von Anfragen des Datemsubjekts. Der Verarbeiter kann die eingegangenen Datenschutzanfragen und die sie stellenden Datensubjekte direkt an den Kunden zur Bearbeitung dieser Anfragen verweisen.

PERSONAL DES VERARBEITERS

Vertraulichkeit.

Der Verarbeiter stellt sicher, dass sein mit der Verarbeitung personenbezogener Daten betrautes Personal sich zur Vertraulichkeit verpflichtet hat.

Zulässige Offenlegungen.

Ohne von Abschnitt 2.3 oben und Abschnitt 5 unten abzuweichen, kann der Verarbeiter die personenbezogenen Daten (a) offenlegen und verarbeiten, soweit dies von einem zuständigen Gericht oder einer anderen zuständigen staatlichen oder halbstaatlichen Behörde verlangt wird, oder (b) anderweitig gemäß den geltenden Datenschutzgesetzen (in einem solchen Fall informiert der Verarbeiter den Kunden vor der Offenlegung über die gesetzliche Anforderung, sofern dies nicht gesetzlich verboten ist), oder (c) auf einer bedarfsorientierten Basis („Need-to-Know”) unter Verpflichtung zur Vertraulichkeit gegenüber seinen Rechtsberatern, Datenschutzberatern und Buchhaltern.

UNTERVERARBEITER

Beauftragung von Unterverarbeitern.

Der Kunde nimmt zur Kenntnis und erklärt sich damit einverstanden, dass (a) die verbundenen Unternehmen des Verarbeiters als Unterverarbeiter eingesetzt werden können; und (b) der Verarbeiter und die verbundenen Unternehmen des Verarbeiters jeweils Dritt-Unterverarbeiter in Verbindung mit der Bereitstellung des Service einsetzen können.

Liste der aktuellen Unterverarbeiter und Ankündigung neuer Unterverarbeiter.

Der Verarbeiter stellt dem Kunden die aktuelle Liste der Unterverarbeiter, die der Verarbeiter zur Verarbeitung personenbezogener Daten einsetzt, über www.monday.com/terms/subprocessors zur Verfügung.

Diese Liste der Unterverarbeiter enthält die Identität dieser Unterverarbeiter und das Land des Unternehmens („Liste der Unterverarbeiter”). Die Liste der Unterverarbeiter gilt mit dem Datum der ersten Nutzung des Service durch den Kunden als genehmigt, sobald dieser den Service zum ersten Mal nutzt. Der Kunde kann der Nutzung eines bestehenden Unterverarbeiters durch den Verarbeiter in angemessener Weise widersprechen, indem er einen schriftlichen Widerspruch an legal@monday.com richtet. Falls der Kunde in angemessener Weise Einspruch gegen einen bestehenden Unterverarbeiter erhebt, wie es laut den vorstehenden Zeilen zugelassen ist, kann der Kunde als einziges Rechtsmittel die geltende Vereinbarung und diesen DPA nur in Bezug auf diejenigen Services kündigen, die vom Verarbeiter nicht ohne den Einsatz des beanstandeten Unterverarbeiters erbracht werden können, indem er den Verarbeiter schriftlich darüber informiert, vorausgesetzt, dass alle Beträge, die im Rahmen der Vereinbarung vor dem Kündigungsdatum in Bezug auf die fragliche Verarbeitung fällig sind, ordnungsgemäß an den Verarbeiter gezahlt werden. Der Kunde hat keine weiteren Ansprüche gegen den Verarbeiter aufgrund (i) der früheren Nutzung von genehmigten Unterverarbeitern vor dem Datum des Widerspruchs oder (ii) der Beendigung der Vereinbarung (einschließlich, und ohne Einschränkung, der Beantragung von Erstattungen) und dem DPA in der in diesem Absatz beschriebenen Situation.

Die Webseite des Verarbeiters ist über   www.monday.com/terms/subprocessors zugänglich

Bietet einen Mechanismus an, um Benachrichtigungen über neue Unterverarbeiter, die zur Verarbeitung personenbezogener Daten eingesetzt werden, zu abonnieren. Wenn der Kunde sich anmeldet, muss der Verarbeiter alle neuen Unterverarbeiter benachrichtigen, bevor er diese neuen Unterverarbeiter zur Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung des Service autorisiert.

Widerspruchsrecht für neue Unterverarbeiter.

Der Kunde kann dem Einsatz eines neuen Unterverarbeiters durch den Verarbeiter aus Gründen des Schutzes der personenbezogenen Daten, die von diesem Unterverarbeiter verarbeitet werden sollen, in angemessener Weise widersprechen, indem er den Verarbeiter unverzüglich schriftlich innerhalb von drei (3) Werktagen nach Erhalt der Mitteilung des Verarbeiters gemäß dem in Abschnitt ‎5.2.2 dargelegten Mechanismus informiert. Ein solcher schriftlicher Einspruch muss die Begründung für den Einspruch gegen den Einsatz eines solchen neuen Unterverarbeiters durch den Verarbeiter enthalten. Wird ein solcher neuer Unterverarbeiter nicht innerhalb von drei (3) Werktagen nach der Benachrichtigung durch den Verarbeiter schriftlich beanstandet, gilt dies als Akzeptanz des neuen Unterverarbeiters. Sollte der Kunde einen neuen Unterverarbeiter in angemessener Weise ablehnen, wie es in den vorstehenden Zeilen gestattet ist, wird der Verarbeiter angemessene Anstrengungen unternehmen, um dem Kunden eine Änderung des Service zur Verfügung zu stellen oder eine wirtschaftlich angemessene Änderung der Konfiguration oder Nutzung des Service durch den Kunden zu empfehlen, um die Verarbeitung personenbezogener Daten durch den beanstandeten neuen Unterverarbeiter zu vermeiden, ohne den Kunden unangemessen zu belasten. Falls der Verarbeiter nicht in der Lage ist, eine solche Änderung innerhalb von dreißig (30) Tagen zur Verfügung zu stellen, kann der Kunde als einziges Rechtsmittel die geltende Vereinbarung und diesem DPA nur in Bezug auf diejenigen Services kündigen, die vom Verarbeiter nicht ohne den Einsatz des beanstandeten neuen Unterverarbeiters erbracht werden können, indem er den Verarbeiter schriftlich darüber informiert. Alle Beträge, die gemäß der Vereinbarung vor dem Beendigungsdatum in Bezug auf die fragliche Verarbeitung fällig sind, müssen ordnungsgemäß an den Verarbeiter gezahlt werden. Bis zur Entscheidung über den neuen Unterverarbeiter kann der Verarbeiter die Verarbeitung der betroffenen personenbezogenen Daten vorübergehend aussetzen und/oder den Zugang zum Konto sperren. Der Kunde besitzt in der in diesem Absatz beschriebenen Situation keine weiteren Ansprüche gegenüber dem Verarbeiter aufgrund der Beendigung der Vereinbarung (einschließlich, ohne Einschränkung, der Forderung von Rückerstattungen) und/oder dem DPA.

Vereinbarungen mit Unterverarbeitern.

Der Verarbeiter oder ein Partner des Verarbeiters hat mit jedem Unterverarbeiter eine schriftliche Vereinbarung abgeschlossen, die angemessene Garantien zum Schutz personenbezogener Daten enthält. Beauftragt der Verarbeiter einen neuen Unterverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des Kunden, werden diesem neuen Unterverarbeiter vertraglich dieselben oder im Wesentlichen ähnliche Datenschutzverpflichtungen wie in diesem DPA auferlegt, insbesondere ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in einer Weise, dass die Verarbeitung den Anforderungen der DSGVO entspricht. Kommt der neue Unterverarbeiter seinen Datenschutzverpflichtungen nicht nach, bleibt der Verarbeiter gegenüber dem Kunden in vollem Umfang für die Erfüllung der Verpflichtungen des neuen Unterverarbeiters haftbar.

Sicherheit

Kontrollen zum Schutz personenbezogener Daten.

Der Verarbeiter ist verpflichtet, branchenübliche technische und organisatorische Maßnahmen zum Schutz der im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten (einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust oder Veränderung oder Beschädigung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten), der Vertraulichkeit und der Integrität personenbezogener Daten zu ergreifen, einschließlich der Maßnahmen, die in der Sicherheitsdokumentation in ihrer jeweils gültigen Fassung aufgeführt sind. Auf angemessenen Antrag des Kunden unterstützt der Verarbeiter den Kunden auf dessen Kosten bei der Einhaltung der Verpflichtungen gemäß Artikel 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Verarbeiter zur Verfügung stehenden Informationen.

Audits und Inspektionen.

Auf schriftliche Anfrage des Kunden 14 Tage im Voraus in angemessenen Abständen (nicht mehr als einmal alle 12 Monate) und vorbehaltlich strenger Vertraulichkeitsverpflichtungen seitens des Kunden stellt der Verarbeiter dem Kunden, der kein Konkurrent des Verarbeiters ist (oder dem unabhängigen, seriösen, dritten Prüfer des Kunden, der kein Konkurrent des Verarbeiters ist und nicht im Konflikt mit dem Verarbeiter steht, vorbehaltlich ihrer Vertraulichkeits- und Wettbewerbsverbotsverpflichtungen), alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses DPA nachzuweisen und Audits zu ermöglichen und zu unterstützen, (vorausgesetzt jedoch, dass solche Informationen, Audits, Inspektionen und deren Ergebnisse, einschließlich der Dokumente, die das Ergebnis des Audits und/oder der Inspektionen widerspiegeln, vom Kunden nur verwendet werden, um die Einhaltung dieses DPA zu beurteilen, und dass sie ohne die vorherige schriftliche Genehmigung des Verarbeiters nicht für andere Zwecke verwendet oder an Dritte weitergegeben werden. Auf erstes Anfordern des Verarbeiters gibt der Kunde alle Aufzeichnungen oder Unterlagen zurück, die sich im Besitz oder unter der Kontrolle des Kunden befinden und die der Verarbeiter im Rahmen des Audits und/oder der Inspektion zur Verfügung gestellt hat). Der Kunde trägt die volle Verantwortung für alle Kosten und Aufwendungen, die sich aus diesem Abschnitt ergeben bzw. damit zusammenhängen. Falls und soweit die Standardvertragsklauseln anwendbar sind, ändert oder modifiziert nichts in dieser Sektion 6.2 die Standardvertragsklauseln oder beeinträchtigt die Rechte einer Aufsichtsbehörde oder eines Datensubjekts gemäß den Standardvertragsklauseln.

MANAGEMENT UND BENACHRICHTIGUNGEN BEI DATENZWISCHENFÄLLEN

Der Verarbeiter unterhält Richtlinien und Verfahren für das Management von Sicherheitsvorfällen und benachrichtigt den Kunden unverzüglich, nachdem er von der versehentlichen oder unrechtmäßigen Zerstörung, dem Verlust, der Änderung, der unbefugten Offenlegung oder dem Zugriff auf personenbezogene Daten, die im Auftrag des Kunden verarbeitet wurden, einschließlich personenbezogener Daten, die vom Verarbeiter oder seinen Unterverarbeitern übermittelt, gespeichert oder anderweitig verarbeitet wurden und von denen der Verarbeiter Kenntnis erlangt (ein „Datenvorfall”). Der Verarbeiter unternimmt angemessene Anstrengungen, um die Ursache eines solchen Datenvorfalls zu ermitteln und die Schritte zu unternehmen, die der Verarbeiter für notwendig und angemessen hält, um die Ursache eines solchen Datenvorfalls zu beheben, soweit die Behebung in seinem Einflussbereich liegt. Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die durch den Kunden oder dessen Benutzer verursacht werden. Der Kunde wird ohne vorherige schriftliche Zustimmung des Verarbeiters keine Feststellungen, Haftungseingeständnisse, Mitteilungen, Bekanntmachungen, Pressemitteilungen oder Berichte über Datenvorfälle machen, offenlegen, freigeben oder veröffentlichen, die den Verarbeiter direkt oder indirekt identifizieren (auch nicht in einem Gerichtsverfahren oder in einer Mitteilung an Regulierungs- oder Aufsichtsbehörden oder betroffene Personen), es sei denn und einzig und allein in dem Ausmaß, in dem der Kunde gemäß den geltenden Datenschutzgesetzen dazu gezwungen ist. In letzterem Fall wird der Kunde, sofern dies nicht gesetzlich verboten ist, den Verarbeiter in angemessener Frist schriftlich benachrichtigen, um dem Verarbeiter die Möglichkeit zu geben, einer solchen Weitergabe zu widersprechen, und in jedem Fall verpflichtet sich der Kunde, die Weitergabe auf den erforderlichen Mindestumfang zu beschränken.

RÜCKGABE UND LÖSCHUNG PERSONENBEZOGENER DATENRÜCKGABE UND LÖSCHUNG PERSONENBEZOGENER DATEN

Nach Beendigung der Vereinbarung und vorbehaltlich dieser, wird der Verarbeiter nach Wahl des Kunden (angegeben über den Service oder in einer schriftlichen Mitteilung an den Verarbeiter) alle personenbezogenen Daten, die er ausschließlich im Auftrag des Kunden in der in der Vereinbarung beschriebenen Weise verarbeitet, löschen oder an den Kunden zurückgeben, und der Verarbeiter wird bestehende Kopien dieser personenbezogenen Daten löschen, es sei denn, die Datenschutzgesetze erfordern oder erlauben die weitere Speicherung solcher personenbezogenen Daten. Soweit dies nach geltendem Recht zulässig oder erforderlich ist, darf der Verarbeiter auch eine Kopie der personenbezogenen Daten ausschließlich zu Beweiszwecken und/oder zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen und/oder zur Erfüllung gesetzlicher Verpflichtungen aufbewahren.

GRENZÜBERSCHREITENDE DATENÜBERTRAGUNGEN

Übertragungen aus dem EWR, der Schweiz und dem Vereinigten Königreich in Länder, die ein angemessenes Datenschutzniveau bieten.

Personenbezogene Daten können aus den EU-Mitgliedstaaten, den drei EWR-Mitgliedsländern (Norwegen, Liechtenstein und Island) (zusammen „EWR”), der Schweiz und dem Vereinigten Königreich („VK“) in Länder übermittelt werden, die ein angemessenes Datenschutzniveau gemäß den von den zuständigen Datenschutzbehörden des EWR, der Europäischen Union, der Mitgliedstaaten oder der Europäischen Kommission veröffentlichten Angemessenheitsbeschlüssen („Angemessenheitsbeschlüsse“) bieten, ohne dass weitere Schutzmaßnahmen erforderlich sind.

Übertragungen an andere Länder.

Falls die Verarbeitung personenbezogener Daten durch den Verarbeiter Übermittlungen (entweder direkt oder durch Weiterleitung) aus dem EWR, der Schweiz und/oder dem Vereinigten Königreich in andere Länder umfasst, die nicht Gegenstand eines relevanten Angemessenheitsbeschlusses sind, und solche Übermittlungen nicht über einen alternativen anerkannten Compliance-Mechanismus erfolgen, wie er vom Verarbeiter für die rechtmäßige Übermittlung personenbezogener Daten (wie in der DSGVO definiert) außerhalb des EWR, der Schweiz oder des Vereinigten Königreichs, wie anwendbar, angenommen werden kann, dann gelten die Standardvertragsklauseln.

Sofern die Übertragung personenbezogener Daten den Standardvertragsklauseln unterliegt, ist der „Datenimporteur” im Rahmen dieser Klauseln entweder der Verarbeiter oder sein Unterverarbeiter, wie vom Verarbeiter festgelegt, und der „Datenexporteur” ist der Verantwortliche für diese personenbezogenen Daten. Falls erforderlich, stellt der Verarbeiter sicher, dass sein Unterverarbeiter die Standardvertragsklauseln direkt mit dem Kunden abschließt, und in einem solchen Fall erteilt der Kunde dem Verarbeiter hiermit eine Anweisung und ein Mandat, die Standardvertragsklauseln mit einem solchen Unterverarbeiter im Namen des Kunden und im Auftrag des Kunden zu unterzeichnen. Die Standardvertragsklauseln gelten nicht für personenbezogene Daten, die sich auf Personen beziehen, die sich außerhalb des EWR befinden, oder die weder direkt noch durch die Weitergabe außerhalb des EWR übertragen werden.

AUTORISIERTE PARTNER

Vertragsverhältnis.

Die Vertragsparteien erkennen an und sind sich einig, dass der Kunde durch die Ausführung des DPA diesen im eigenen Namen und gegebenenfalls im Namen und im Auftrag seiner autorisierten Partner abschließt, wobei jede autorisierte Tochtergesellschaft sich damit einverstanden erklärt, an die Verpflichtungen des Kunden im Rahmen dieses DPA gebunden zu sein, falls und soweit der Kunde personenbezogene Daten im Auftrag dieser autorisierten Partner verarbeitet und sie somit als „Verantwortlicher” qualifiziert. Jeder Zugriff auf und jede Nutzung des Service durch autorisierte Partner muss den Bedingungen der Vereinbarung und diesen DPA entsprechen, und jede Zuwiderhandlung gegen die darin enthaltenen Bedingungen durch einen autorisierten Partner gilt als Zuwiderhandlung des Kunden.

Kommunikation.

Der Kunde bleibt für die Koordinierung der gesamten Kommunikation mit dem Verarbeiter im Rahmen der Vereinbarung und dieser DPA verantwortlich und ist berechtigt, jegliche Kommunikation in Bezug auf diese DPA im Namen seiner autorisierten verbundenen Unternehmen zu tätigen und zu empfangen.

ANDERE VORSCHRIFTEN

Datenschutzfolgenabschätzung.

Auf angemessene Anfrage des Kunden stellt der Verarbeiter dem Kunden auf dessen Kosten die angemessene Zusammenarbeit und Unterstützung zur Verfügung, die erforderlich ist, um die Verpflichtung des Kunden gemäß der DSGVO (soweit anwendbar) zur Durchführung einer Datenschutzfolgenabschätzung im Zusammenhang mit der Nutzung des Service durch den Kunden zu erfüllen, soweit der Kunde nicht anderweitig Zugang zu den relevanten Informationen hat und soweit diese Informationen dem Verarbeiter zur Verfügung stehen. Der Verarbeiter unterstützt den Kunden auf dessen Kosten in angemessener Weise bei der Zusammenarbeit oder vorherigen Konsultation mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben im Zusammenhang mit diesem Abschnitt 11.1, soweit dies nach der DSGVO erforderlich ist.

Änderungen seitens des Kunden.

Der Kunde kann mit einer Frist von mindestens fünfundvierzig (45) Kalendertagen schriftlich beim Verarbeiter Änderungen dieses DPA beantragen, falls diese aufgrund einer Änderung oder einer Entscheidung einer zuständigen Behörde im Rahmen von Datenschutzgesetzen erforderlich sind, damit die Verarbeitung personenbezogener Daten des Kunden ohne Verstoß gegen das betreffende Datenschutzgesetz durchgeführt werden kann (oder weiterhin durchgeführt wird). In Folge einer solchen Mitteilung: (a) wird der Verarbeiter wirtschaftlich angemessene Anstrengungen unternehmen, um die vom Kunden geforderten oder vom Verarbeiter als notwendig erachteten Änderungen zu berücksichtigen; und (b) wird der Kunde die Zustimmung zu etwaigen vom Verarbeiter vorgeschlagenen Folgeänderungen dieses DPA zum Schutz des Verarbeiters vor zusätzlichen Risiken nicht unangemessen verweigern oder verzögern bzw. den Verarbeiter für alle weiteren Schritte und Kosten entschädigen, die mit den auf Wunsch des Kunden vorgenommenen Änderungen verbunden sind. Die Parteien werden die vorgeschlagenen Änderungen unverzüglich besprechen und nach Treu und Glauben verhandeln, um diese oder alternative Änderungen zu vereinbaren und zu implementieren, die dazu bestimmt sind, die in der Mitteilung des Kunden genannten Anforderungen zu erfüllen, sobald dies auf angemessene Weise praktikabel ist. Falls die Parteien nicht in der Lage sind, innerhalb von 30 Tagen nach einer solchen Mitteilung eine solche Vereinbarung zu treffen, kann der Kunde oder der Verarbeiter durch schriftliche Mitteilung an die andere Partei die Vereinbarung mit sofortiger Wirkung kündigen, soweit sie sich auf den Service bezieht, der von den vorgeschlagenen Änderungen (oder deren Fehlen) betroffen ist. Der Kunde hat keine weiteren Ansprüche gegen den Verarbeiter (einschließlich, aber nicht beschränkt auf die Forderung von Rückerstattungen für den Service) gemäß der Beendigung der Vereinbarung und dem DPA, wie in diesem Abschnitt beschrieben

Änderungen seitens des Verarbeiters.

 Der Verarbeiter ist berechtigt, mit einer Frist von mindestens dreißig (30) Kalendertagen nach schriftlicher Mitteilung an den Kunden die Bedingungen dieses DPA und/oder die gemäß Abschnitt 9 dieses DPA anwendbaren Standardvertragsklauseln zu ändern, soweit dies erforderlich ist, um die Verarbeitung personenbezogener Daten ohne Verstoß gegen geltende Datenschutzgesetze zu ermöglichen (oder fortzusetzen) oder um die Interessen des Verarbeiters und/oder des Kunden anderweitig zu schützen, jeweils wie vom Verarbeiter nach eigenem Ermessen sinnvoll festgelegt. Wenn der Kunde den Service nach Ablauf der Kündigungsfrist weiter nutzt, gilt dies als Annahme dieser geänderten Bedingungen. Falls der Kunde innerhalb der Kündigungsfrist gegen diese Änderungen Einspruch erhebt, werden die Parteien die vorgeschlagenen Änderungen unverzüglich erörtern und nach Treu und Glauben verhandeln, um diese oder alternative Änderungen zu vereinbaren und zu implementieren, die darauf abzielen, die in der Mitteilung des Verarbeiters genannten Anforderungen zu erfüllen, sobald dies auf angemessene Weise praktikabel ist. Falls die Parteien nicht in der Lage sind, innerhalb von 30 Tagen nach einer solchen Mitteilung eine solche Vereinbarung zu treffen, kann der Kunde oder der Verarbeiter durch schriftliche Mitteilung an die andere Partei die Vereinbarung mit sofortiger Wirkung kündigen, soweit sie sich auf den Service bezieht, der von den vorgeschlagenen Änderungen (oder deren Fehlen) betroffen ist. Der Kunde hat keine weiteren Ansprüche gegen den Verarbeiter (einschließlich, aber nicht beschränkt auf die Forderung von Rückerstattungen für den Service) gemäß der Beendigung der Vereinbarung und dem DPA, wie in diesem Absatz beschrieben

ANHANG 1 – DETAILS ZUR VERARBEITUNG

Art und Zweck der Verarbeitung

1. Erbringung des Service für den Kunden;
2. Erfüllung der Vereinbarung, dieses DPA und/oder anderer von den Parteien abgeschlossener Verträge;
3. Handeln auf Anweisung des Kunden, wenn diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen;
4. Bereitstellung von Support und technischer Wartung, falls dies in der Vereinbarung festgelegt ist;
5. Vorbeugung, Minderung und Untersuchung der Risiken von Datensicherheitsvorfällen, Betrug, Fehlern oder jeglicher illegaler oder verbotener Aktivität;
6. Beilegung von Disputen;
7. Durchsetzung der Vereinbarung, dieses DPA und/oder Verteidigung der Rechte des Verarbeiters;
8. Einhalten der geltenden Gesetze und Vorschriften;
9. Alle Aufgaben, die mit einem der oben genannten Punkte zusammenhängen.

Verarbeitungsdauer

Vorbehaltlich der Abschnitte des DPA und/oder der Vereinbarung, die sich mit der Dauer der Verarbeitung und den Folgen ihres Ablaufs oder ihrer Beendigung befassen, wird der Verarbeiter personenbezogene Daten gemäß des DPA und der Vereinbarung für die Dauer der Vereinbarung verarbeiten, sofern nicht schriftlich etwas anderes vereinbart wurde.

Art der personenbezogenen Daten

Der Kunde kann personenbezogene Daten an den Service übermitteln, wobei der Umfang dieser Daten vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird.

Kategorien von Datensubjekten

Der Kunde kann personenbezogene Daten an den Service übermitteln, die unter anderem personenbezogene Daten der folgenden Kategorien von Datensubjekten enthalten können, jedoch nicht auf diese beschränkt sind:

• Mitarbeiter, Beauftragte, Berater, Freelancer des Kunden (die natürliche Personen sind)
• Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden (die natürliche Personen sind)
• Mitarbeiter oder Kontaktpersonen von Interessenten, Kunden, Geschäftspartnern und Verkäufern des Kunden
• Jede andere Drittpartei, mit der der Kunde über den Service kommunizieren möchte.

HAFTUNGSAUSSCHLUSS: Bei dieser Version handelt es sich um eine Übersetzung des englischen Originals, die nur zur Vereinfachung bereitgestellt wird. Das englische Original ist die offizielle und rechtlich verbindliche Version und hat im Falle einer Abweichung Vorrang.